闡述電子簽名的創建與認證:其法律效力為何?
在網路上的交流中,由於無需與對方面對面,因此需要確認發送者和接收者是否真的是本人,以及信息是否在途中被篡改。
在這裡,本所將解釋如何使用加密技術這種有效的手段來創建電子簽名,以及如何進行認證。
電子簽名是什麼
「日本電子簽名法(日本電子簽名及認證業務相關法律)」是一部規範電子文件上的「電子簽名」定義、效力以及進行其認證的業務,並規定電子簽名的法律有效性的法律。
在這個日本電子簽名法中,「電子簽名」是指對可以記錄在電磁記錄上的信息進行的措施,
- 該電子簽名是由本人創建的(本人性)
- 可以確認該電子簽名是否被修改(非篡改性)
被視為符合這兩個要求的措施(日本電子簽名法第2條第1項)。只要進行了只有本人才能進行的電子簽名,就被推定為與本人的簽名或蓋章的文件一樣,是真實有效的(日本電子簽名法第3條)。
電子契約的法律效力
契約是在對契約內容的表示意願並提出締結的申請得到對方的接受時成立的(日本民法第522條),並不一定需要製作書面文件。然而,如果契約發生爭議,則需要能夠提交到法庭作為證據的東西。
對此,「文件必須證明其成立是真實的」(日本民事訴訟法第228條第1項),如果要將紙質媒介的文件作為證據提交到法庭,則當該文件上有本人或其代理人的簽名或蓋章時,該文件被推定為是真實有效的(由本人的意願創建的)(日本民事訴訟法第228條第4項)。
對此,日本電子簽名法也對電子文件的法律效力進行了整理。
電子簽名的認證業務
為了使電子契約在法庭上具有證據力,需要滿足「由本人創建」的要求,但與可以通過查看文件來確認的書面簽名不同,電子簽名是電子數據,因此需要證明其是否由本人創建的手段。
對此,日本電子簽名法第2條規定:
日本電子簽名法(定義)第2條
第2項 在本法中,「認證業務」是指,對自己進行的電子簽名,應用戶(以下簡稱「用戶」)或其他人的要求,證明與該用戶相關的事項被用於確認該用戶進行了電子簽名的業務。
第3項 在本法中,「特定認證業務」是指,對於電子簽名,根據其方式,只有本人才能進行的,並符合主管部門規定的標準的認證業務。
如此,日本電子簽名法預設了由第三方證明是由本人進行的電子簽名,並將此業務稱為「認證業務」,其中,只有本人才能進行的,並符合主管部門規定的標準的認證業務被定義為「特定認證業務」。
目前,被採用為「特定認證業務」標準的認證技術是使用公開密鑰加密的PKI(Public Key Infrastructure)技術(日本電子簽名法實施規則第2條)。 「特定認證業務」是使用這種技術進行電子文件等的加密和本人確認,並發行電子證書以證明電子簽名是本人的業務。這種認證業務被允許由民間公司進行,進行認證業務的第三方機構被稱為「電子認證機構」,並在日本電子簽名法第4條以下規定了其認證標準等。
電子簽名和時間戳記
電子簽名和時間戳記在網路社會中,是確保「何時」、「什麼」、「誰」的「證據」,是確認電子文件原始性的有力手段。
電子簽名的創建和傳送
現在,電子簽名的創建和傳送主要通過使用密鑰和公鑰配對的「公鑰加密方式」和哈希函數的方法,按照以下流程進行:
- 創建者向認證機構申請使用電子證書。
- 認證機構在確認身份和密鑰與公鑰的對應關係等後,生成用於加密文件的密鑰和用於解密文件的公鑰。
- 認證機構發行創建者註冊的公鑰的電子證書。
- 創建者接受認證機構的電子證書。
在此基礎上,發送者將使用電子證書來傳送電子數據。
- 發送者將電子數據通過哈希函數轉換為哈希值(也稱為消息摘要)。哈希函數是將數據(輸入值)轉換為某種數值(輸出值)的函數。
- 將此哈希值用電子證書證明的公鑰對應的密鑰加密。這個行為被稱為「電子簽名」。
- 發送者將電子數據(明文)和電子簽名結合,並與電子證書一起傳送給接收者。
- 接收者將接收到的數據分為電子數據(明文)和電子簽名,並使用與發送者相同的哈希函數從電子數據(明文)生成哈希值。
- 使用發送者的公鑰解密電子簽名,獲得哈希值。
- 比較在步驟4和5中獲得的哈希值,如果一致,則可以確認該電子數據來自發送者,並且未被篡改。
由於哈希值的特性,如果電子文件的內容與電子簽名時的內容完全相同,創建時的哈希值和解密的哈希值將完全相同,如果有一個字符不同,則哈希值將完全不同。
因此,通過確認兩個哈希值的一致性,可以確認該電子文件未被篡改。
時間戳記
電子文件和簽名文的哈希值的一致性可以確認文件內容未被篡改,但此外,「何時」該文件存在(存在證明),並且從那時起文件內容未被篡改(非篡改證明)的證明,就是所謂的「時間戳記」(TS)。時間戳記與電子簽名一起被認為是確認電子文件原始性的有效手段。
用戶將原始數據的哈希值發送給時間戳記認證機構(TSA:Time-Stamping Authority),TSA將時間信息附加到這個哈希值上,並將TS發送給用戶。通過確認電子文件的哈希值和時間戳記的哈希值的一致性,可以證明內容未被篡改。
數據保存
公司和個體經營者有義務保存會計處理的訂單、契約等帳簿文件7年(或10年),根據日本電子帳簿保存法(關於使用電子計算機創建國稅相關帳簿文件的保存方法等的特例法),進行電子交易的情況下也必須保存交易信息(日本電子帳簿保存法第10條)。
對於長期保存這些電子文件,根據日本電子帳簿保存法實施規則,該電子文件必須「附加由日本數據通信協會認證的業務相關的時間戳記」(日本電子帳簿保存法實施規則第3條第5項第2號),並且要求「能夠確認保存該電磁記錄的人或直接監督該人的信息」(日本電子帳簿保存法實施規則第8條)。
總結
電子化文件已成為業務流程改革、提升客戶服務等業務效率的基礎,而由電子化文件所帶來的記錄與管理的重要性,每日都在增加。
即使是電子合約,其合約的有效性也被認可,並且在法庭上,電子合約書也可以作為證據使用。在業務間的合約中,電子化的趨勢正在迅速發展。需要理解與電子合約相關的各種日本法律和法規,並適當地應對。
當事務所提供的對策介紹
Monolith法律事務所是一家在IT,特別是互聯網和法律兩方面具有高度專業性的法律事務所。近年來,電子簽名的使用場景不斷增加,法律審查的必要性也日益增加。本所的事務所在考慮到各種法律規定的基礎上,分析已經開始或即將開始的業務相關的法律風險,並盡可能在不停止業務的情況下實現合法化。詳細內容已在下面的文章中說明。